Come posso segnalare una nuova vulnerabilità a cve.mitre.org in modo tale che gli assegnino un ID CVE?

Question

Come posso segnalare una nuova vulnerabilità a cve.mitre.org in modo tale che gli assegnino un ID CVE?

#1 da (4 voti)
#2 da (2 voti)
#3 da (1 voti)

8

Questa è una domanda ipotetica. Le risposte mi aiuterebbero a capire come CVE rilascia gli ID CVE alle vulnerabilità.

Supponiamo di aver seguito i principi della divulgazione responsabile, segnalato la vulnerabilità che ho riscontrato al venditore e il venditore non ha risolto il problema nemmeno dopo diversi mesi.

Come posso segnalare questa vulnerabilità a cve.mitre.org in modo che pubblichino i dettagli della vulnerabilità dopo aver assegnato un ID CVE ad esso?

Ho visto ricercatori indipendenti di hobbisti della sicurezza che postano vulnerabilità sulla mailing list di Bugtraq e Full Disclosure e quelle vulnerabilità sono automaticamente incluse con gli ID CVE in cve.mitre.org. Voglio sapere di più su come funziona. Non penso che ognuno di loro invii un CNA per richiedere un numero ID CVD.

vulnerability cve

posta Lone Learner 20.04.2016 - 18:59

fonte

3 risposte

Leggi altre domande sui tag vulnerability cve

Incremento del fattore di lavoro delle funzioni di hash nel tempo Il rooting di un telefono Android per installare un firewall anti-virus vale la pena?

score 4 · Answer 1

[Nota: vedi la risposta di @tim , che è una risposta più approfondita della mia google veloce.]

MITER ha una documentazione ufficiale che risponde alla tua domanda proprio su cve.mitre.org , in particolare guarda link che fornisce una descrizione approfondita degli identificativi CVE, come vengono creati e come richiederne uno.

Anche il link home page alla home page ha il seguente diritto nella colonna principale:

CVE Numbering Authorities (CNAs)

CNAs are the main method for requesting a CVE-ID number.

CNAs are major OS vendors, security researchers, and research organizations that assign CVE-IDs to newly discovered issues without directly involving MITRE in the details of the specific vulnerabilities, and include the CVE-ID numbers in the first public disclosure of the vulnerabilities.

The following 22 organizations currently participate as CNAs: Adobe; Apple; Attachmate; BlackBerry; CERT/CC; Cisco; Debian GNU/Linux; EMC; FreeBSD; Google; HP; IBM; ICS-CERT; JPCERT/CC; Microsoft; MITRE (primary CNA); Mozilla; Oracle; Red Hat; Silicon Graphics; Symantec; and Ubuntu Linux.

A message about turnaround times for requesting CVE-ID numbers from MITRE is posted above. For more information about requesting CVE-ID numbers from CNAs, visit the CVE Numbering Authorities page.

Se non sei soddisfatto della risposta ufficiale, specifica per favore cosa sai e cosa ti manca nella tua domanda.

score 2 · Answer 2

In teoria: contatta un CNA o una mailing list

Come altri hanno affermato, dovresti contattare una CNA . Se non riesci a trovarne uno nell'elenco dei fornitori di software, dovrai contattare direttamente MITER.

Potresti anche postarlo in una mailing list invece di contattare un CNA. MITRE cita bugtraq - dove si pubblica la vulnerabilità (non una richiesta per un CVE), e idealmente si ottiene un CVE da MITRE -, ma si potrebbe anche usare oss-security, che viene principalmente utilizzato per le richieste CVE (si può vedere il tasso di assegnazioni da cve-assign @ MITER, quindi puoi considerare se ne vale la pena).

Se richiedi CVE tramite più metodi, dovresti menzionare eventuali richieste precedenti - riuscite o meno - per evitare assegnazioni duplicate.

Queste possibilità sono descritte anche da MITER nella loro Richiesta di un CVE pagina di informazioni:

Contact one of the officially recognized CVE Numbering Authorities (CNAs) [... o]r, contact an emergency response team such as CERT/CC, etc., post the information to mailing lists such as Bugtraq, or provide the information to a vulnerability analysis team [...] If you are unable to obtain a CVE Identifier number via the main methods above, you may request a CVE Identifier number directly from the CVE project.

In pratica: MITER sta riscontrando problemi nell'assegnare CVE

Il fatto è che MITER sta avendo problemi ad assegnare i CVE a causa di un aumento delle vulnerabilità scoperte, quindi richiede un po 'di fortuna per ottenerne uno da loro.

Ci sono state delle lamentele per un po 'e MITER ha una nota sul loro sito web che definisce un "ritardo":

The recent explosion of Internet-enabled devices—known as the Internet of Things—as well as the propagation of software-based functionality in systems has led to a huge increase in the number of CVE requests we have been receiving on a daily basis. We did not anticipate this rate of growth, and, as a result, were not as prepared for the latest surge in requests over the past 12 months as we had hoped. The result has been some of the delay in CVE assignments that the software security community has recently witnessed. We recognize the inconvenience that has resulted, and are working hard to come up with a solution.

Mentre MITER parla solo di un ritardo, altri riferiscono di non ricevere alcuna risposta, vedi qui , qui o qui (che è anche la mia esperienza e quale attività alle mailing list come oss -sicurezza indica).

score 1 · Answer 3

Il metodo EXACT per ottenere un CVE da Mitre è inviarlo via e-mail all'indirizzo cve-assign @ mitre.org. Quando li invii via e-mail, devi essere specifico sul motivo per cui stai richiedendo un CVE e dovrai fornire loro l'essenza di ciò che hai trovato. Ad esempio:

Cross Domain Paradigm Shift (issue)
Paradigm Vendor (vendor)
Versions (version of software affected)
Synopsis (proof of concept helps, e.g., debugging info, URL if web based etc)
Any vendor contacts you have made (email, fax, telephone, etc)

Il SOLO TEMPO che passerai attraverso un CNA è se Mitre non risponde.